Connexion
Abonnez-vous

La distribution Tails, spécialisée dans l’anonymat, comporte des failles 0-day

Avec de vrais morceaux de gentils méchants

La distribution Tails, spécialisée dans l'anonymat, comporte des failles 0-day

Le 24 juillet 2014 à 14h40

La distribution Tails Linux, axée sur la sécurité, contiendrait plusieurs failles de sécurité 0-day qui exposeraient les données de l’utilisateur. Un vrai problème pour le chercheur Loc Nguyen, qui a fait la découverte, puisque ce système se veut justement nettement plus sécurisé que la moyenne.

Pirate Piratage Sécurité
Crédits : Andrey Popov/iStock/Thinkstock

Des failles critiques dans une distribution spécialisée dans la sécurité 

Anonymat et confidentialité : tels sont les deux maitres mots qui gouvernent le développement de la distribution Tails. Basée sur Debian, elle fonctionne idéalement depuis une clé USB ou un DVD de type « live », qui peut donc démarrer depuis n’importe quelle machine. L’orientation de la distribution est simple : ne laisser aucune trace sur ladite machine, à moins que l’utilisateur l’ait expressément demandé.

 

Tails se sert d’un nombre important de composants pour rendre anonymes autant que possible les échanges d’informations. La distribution est disponible en version 1.1 depuis deux jours seulement et ses utilisateurs sont de fait des habitués de Tor, l’un des éléments clés de l’ensemble. La distribution n’était pas nécessairement très connue du grand public, mais il existe une attraction beaucoup plus forte depuis moins d’un an. Une visibilité née dans le sillage de l’affaire Snowden : quand un article de The Guardian l’a conseillée pour laisser le moins de traces possible, puis quand le site allemand Tagesschau a indiqué que la NSA marquait comme « suspects » tous ceux qui se renseignaient sur elle et Tor en se rendant sur les sites officiels.

 

Entre en piste la société Exodus Intelligence. L’un des chercheurs, Loc Nguyen, a averti The Register que Tails contenait un nombre indéterminé de failles critiques et de type 0-day. En d’autres termes, ces failles sont déjà exploitées, ou sont exploitables n'importe quand. Il explique qu’Exodus a été « très impressionné » par le travail réalisé par les développeurs de Tails. Mais dans son efficacité résiderait une faiblesse intrinsèque : le nombre de composants qui communiquent entre eux est tellement élevé que toutes les interactions n’ont pas été soigneusement vérifiées.

Une entreprise chercheuse de failles 0-day 

Pourquoi le dire maintenant ? C’est là que les choses se corsent. Car Exodus Intelligence n’est pas une entreprise comme les autres : elle opère dans le monde du renseignement, comme son nom l’indique. Or, l’entreprise révèle que Tails comporte des failles 0-day… pour mieux indiquer qu’elle les avait découvertes et qu’elles étaient « toujours efficaces », même avec l’arrivée de la mouture 1.1 il y a deux jours.

 

 

 

Exodus Intelligence est spécialisée dans la traque de ce genre de faille, son activité commerciale consistant à les revendre ensuite à ses clients.  Parmi ces derniers se trouvent le département américain de la Défense ou encore la DARPA (Defense Advanced Research Projects Agency). Cependant, comme précisé à The Register également, l’entreprise n’a pas donné les failles de Tails à ses clients. Elle a en effet décidé de travailler directement avec l’équipe de la distribution.

« aucune solution ne peut garantir un anonymat en ligne » 

Mais alors pourquoi revendiquer la possession de ces informations cruciales si ce n’est pas pour faire fructifier ses découvertes ? Selon Loc Nguyen, il ne s’agit pas d’une question d’image, mais d’avertissement : « Nous avons annoncé le fait que nous avions la capacité de diffuser le message à la communauté qu’aucune solution ne peut garantir un anonymat en ligne ».

 

Même si les choses devraient donc s’arranger pour Tails, dont la sécurité devrait grimper en conséquence, le message d’Exodus rejoint trait pour trait les avertissements lancés par l’expert Andy Malone, qui expliquait déjà en mai que même si la sécurité globale du réseau Tor n’avait pas été brisée, il existait des failles de sécurité qui pouvaient provoquer des fuites d’informations. Pour lui, résumer la situation était très simple : « L’anonymat sur internet, ça n’existe pas. S’ils vous veulent, ils vous auront ».

L'équipe de Tails satisfaite de l'attitude d'Exodus 

Quant à l’équipe de Tails, elle a réagi elle aussi. Dans un billet publié hier après-midi, elle indique qu’elle avait rédigé une première réponse quand elle avait vu le tweet publié par Exodus, car l’entreprise ne les avait pas contactés. Mais Exodus a bien pris contact et a fait deux promesses : que tous les détails seraient fournis dans la semaine qui suivrait, et qu’ils ne seraient donnés à aucun autre tiers.

 

L’équipe annonce être satisfaite de l’attitude d’Exodus, même si l’on se doute qu’elle attend les informations réelles pour être soulagée. Après quoi il lui faudra travailler très rapidement pour s’assurer que les brèches seront colmatées au plus vite, sans parler de la diffusion des correctifs chez les utilisateurs. Ceux qui utilisent des DVD devront impérativement graver la nouvelle version. L’équipe indique par ailleurs que de gros travaux de renforcement de la sécurité sont en cours, notamment une intégration très poussée d’AppArmor, une meilleure sécurisation du noyau et de la navigation web, ou encore l’utilisation plus intensive du sandboxing (isolation de processus dans des compartiments mémoire isolés).

Commentaires (50)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Bon bin on va attendre la prochaine version <img data-src=" />

votre avatar

En même temps quelqu’un pense vraiment qu’il est possible d’avoir un système 100% sécurisé ? (à part les possesseurs de mac <img data-src=" /> )



Que ce soit sur Tails ou n’importe quel OS il y a des failles et il y en aura toujours.

votre avatar







gogo77 a écrit :



En même temps quelqu’un pense vraiment qu’il est possible d’avoir un système 100% sécurisé ? (à part les possesseurs de mac <img data-src=" /> )



Que ce soit sur Tails ou n’importe quel OS il y a des failles et il y en aura toujours.





<img data-src=" /> oui les possesseurs d’iphone


votre avatar

Mais ces fails ne concerne pas que Tails mais toutes les distributions utilisant les même paquets non ?

votre avatar







arno53 a écrit :



Mais ces fails ne concerne pas que Tails mais toutes les distributions utilisant les même paquets non ?





Ça peut aussi être des questions de configuration.


votre avatar







gogo77 a écrit :



En même temps quelqu’un pense vraiment qu’il est possible d’avoir un système 100% sécurisé ? (à part les possesseurs de mac <img data-src=" /> )



Que ce soit sur Tails ou n’importe quel OS il y a des failles et il y en aura toujours.





OpenBSD, mais sans interface chaise-clavier.


votre avatar

Ces derniers temps, j’ai l’impression que l’on trouve pas mal de failles de sécurités dans les logiciels open source non?



Et ce ne sont que celles que leur chercheurs ont bien voulus annoncer.

votre avatar







after_burner a écrit :



Ces derniers temps, j’ai l’impression que l’on trouve pas mal de failles de sécurités dans les logiciels open source non?





Peut-être que les gens ont réaliser que le simple fait que le programme soit open-source n’est pas une garantie et que ça valait peut-être le coût d’investir un peu dans l’audit du truc.


votre avatar







after_burner a écrit :



Ces derniers temps, j’ai l’impression que l’on trouve pas mal de failles de sécurités dans les logiciels open source non?



Et ce ne sont que celles que leur chercheurs ont bien voulus annoncer.







Encore un coup de la NSA pour pousser en avant M$ ? ^^ <img data-src=" />


votre avatar







eliumnick a écrit :



Encore un coup de la NSA pour pousser en avant M$ ? ^^ <img data-src=" />







Faut vraiment être maso pour croire que tes données seront plus en sécurité avec MS qu’avec un logiciel open source.

Autant donner directement les clés de ton entreprise à la NSA, ce sera un gain de temps et d’argent considérable.


votre avatar
votre avatar







js2082 a écrit :



Faut vraiment être maso pour croire que tes données seront plus en sécurité avec MS qu’avec un logiciel open source.

Autant donner directement les clés de ton entreprise à la NSA, ce sera un gain de temps et d’argent considérable.







lol c’était juste du troll qui sous entendait que la NSA voulait que tout le monde utilise les produits MS car la NSA connait tout les failles des produits MS ^^


votre avatar







the_Grim_Reaper a écrit :



Alors, faut aussi :




  • ne pas utiliser de moyen de paiement électronique (CB, etc…),

  • ne pas payer en chèque (traitement informatique derrière),

  • ne pas téléphoner,

  • ne pas parler a une personne utilisant un moyen de comunication électronique,- …







    Tout à fait :)


votre avatar







ungars a écrit :



A l’époque de Staline, exterminer des opposants dans les goulags était parfaitement légal…

Attention, quand on parle de légalité…





Quand on montre la lune du doigt …


votre avatar







Para-doxe a écrit :



La plupart des critiques de Systemd ne connaissent pas ou peut ce qu’ils attaquent. Leur première erreur étant de confondre le gestionnaire d’init systemd et le projet Systemd. Le projet Systemd fourni plusieurs outils, dont un gestionnaire d’init. Mais tous ces outils ne font pas parti du gestionnaire d’init.



Pour ceux qui cherche un article sur ce sujet:http://linuxfr.org/news/mise-aux-poings-sur-systemd












Posté par ? Tanguy Ortolo:

“Et pas de mise en veille non plus, […]”



Posté par Bigon:

“Le paquet systemd-shim est installé?”








Posté par ? Tanguy Ortolo:

“Non. Il faudrait ?”



Posté par Bigon:

“Oui,[…]”





Vachement modulaire systemd <img data-src=" />



Je réponds donc a la question, “systemd n’est pas modulaire”

VRAI





Toute cette mise au point c’est bon pour ceux qui n’ont pas compris comment fonctionne et a quoi sert un systeme d’init.


votre avatar







pentest a écrit :



Toute cette mise au point c’est bon pour ceux qui n’ont pas compris comment fonctionne et a quoi sert un systeme d’init.







Alors tu ferais bien de le lire.


votre avatar







Para-doxe a écrit :



Alors tu ferais bien de le lire.







J’ai bien lu et un systeme d’init n’a pas a gérer la mise en veille de l’OS. Merci


votre avatar







the_Grim_Reaper a écrit :



Bah… reverse ingeniring ou alors c’est la boite elle même qui demande l’audit de son code, ou alors c’est fourni en vue d’une certification style comon critera <img data-src=" />



Alors, faut aussi :




  • ne pas utiliser de moyen de paiement électronique (CB, etc…),

  • ne pas payer en chèque (traitement informatique derrière),

  • ne pas téléphoner,

  • ne pas parler a une personne utilisant un moyen de comunication électronique,







  • Don’t feed the troll ^^…. <img data-src=" />



    On est d’accord, sauf que tes sources qui les compilent, qui te dit que celles auditées sont celles distribuées, voir compilées.

    Tu me repondras R-Eng. Effectivement mais bien plus compliquer, long et donc couteux. Mais pas infaisable certes.


votre avatar







maxscript a écrit :



je dis pas que t’as tord ou raison, mais t’as quand même quelques arguments de comparaison foireux .. <img data-src=" />





Les comparaisons ont pour but de faire comprendre le mécanisme que je souhaite montrer.

Je n’ai jamais dit, par exemple: la différence de confiance que j’ai entre le logiciel libre vs le logiciel proprio est la même que j’ai entre mon pharmacien et un inconnu dans une ruelle.

J’ai dit: la confiance se base surtout sur l’évaluation des intérêts de la personne à profiter de l’arnaque, pour faire comprendre ça, j’utilise un exemple évident: le cas du pharmacien. Et je pose ensuite la question: pourquoi ce mécanisme serait-il négligeable pour le logiciel ?


votre avatar







tschaggatta a écrit :



Et comment audite-t-on un code fermé… Parce qu’un open, ok… mais…. <img data-src=" />





Bah… reverse ingeniring ou alors c’est la boite elle même qui demande l’audit de son code, ou alors c’est fourni en vue d’une certification style comon critera <img data-src=" />





FRANCKYIV a écrit :



&gt;« L’anonymat sur internet, ça n’existe pas. S’ils vous veulent, ils vous auront ».



Ce n’est pas mon avis.

Il suffit de ne pas utiliser sa connexion internet pour avoir un total anonymat.





Alors, faut aussi :




  • ne pas utiliser de moyen de paiement électronique (CB, etc…),

  • ne pas payer en chèque (traitement informatique derrière),

  • ne pas téléphoner,

  • ne pas parler a une personne utilisant un moyen de comunication électronique,



votre avatar



L’un des chercheurs, Loc Nguyen, a averti The Register que Tails contenait un nombre indéterminé de failles critiques et de type 0-day.





J’ai peur <img data-src=" />

J’en connais bien une de faille critique déterminée qui touche toutes les distributions, systemd.

votre avatar







pentest a écrit :



J’ai peur <img data-src=" />

J’en connais bien une de faille critique déterminée qui touche toutes les distributions, systemd.





pulse audio est sympa aussi (qu’est-ce que je suis bien depuis que je l’ai dégagé)


votre avatar







Winderly a écrit :



pulse audio est sympa aussi (qu’est-ce que je suis bien depuis que je l’ai dégagé)







Yep, c’est aussi une autre Poetterinade.



http://boycottsystemd.org/


votre avatar







j-c_32 a écrit :



Les comparaisons ont pour but de faire comprendre le mécanisme que je souhaite montrer.

Je n’ai jamais dit, par exemple: la différence de confiance que j’ai entre le logiciel libre vs le logiciel proprio est la même que j’ai entre mon pharmacien et un inconnu dans une ruelle.

J’ai dit: la confiance se base surtout sur l’évaluation des intérêts de la personne à profiter de l’arnaque, pour faire comprendre ça, j’utilise un exemple évident: le cas du pharmacien. Et je pose ensuite la question: pourquoi ce mécanisme serait-il négligeable pour le logiciel ?







je ne pensais pas spécialement à celle là, mais la comparaison médicament / logiciel est biaisée avant même d’aller plus loin de par la nature beaucoup trop différente des produits. (le côté indispensable / peu d’alternative du médicament te met déjà dans une position différente au moment d’aller voir ton pharmacien).




  • cela dit c’est du pinaillage, j’ai bien compris ton propos, ça m’a juste fait sourire-


votre avatar







pentest a écrit :



Yep, c’est aussi une autre Poetterinade.



http://boycottsystemd.org/





et dire qu’arch a été l’un des premier a embarquer ce système “révolutionnaire”.

je ne comprenais toujours pas pourquoi on était passé à ce truc plus compliqué, je me disais que ça devait faire le café, et rapidement en plus, pour pardonner cette complexité affichée!

bah même pas en fait! <img data-src=" />


votre avatar







geekounet85 a écrit :



et dire qu’arch a été l’un des premier a embarquer ce système “révolutionnaire”.

je ne comprenais toujours pas pourquoi on était passé à ce truc plus compliqué, je me disais que ça devait faire le café, et rapidement en plus, pour pardonner cette complexité affichée!

bah même pas en fait! <img data-src=" />







C’est révolutionnaire on te dit, y’a beaucoup plus de possibilités que le système se plante d’une manière obscure sans que tu saches à qui revient la faute. Nan, vraiment, systemd c’est trop bien (jusqu’au recovery shell qui ne fournit pas de shell parce qu’il plante aussi, super pour résoudre un problème).


votre avatar







j-c_32 a écrit :



D’un autre côté, si tu croises une vieille femme dans une ruelle sombre, tu as le choix entre:




  • lui arracher son sac et gagner de l’argent facilement

  • ne rien faire

    Contrairement à la logique, tu vas ne rien faire.



    Je ne dis pas que tout le monde est gentil, mais qu’il y a plein d’éléments qui poussent l’individu à respecter son prochain (cela va des conséquences sociales à l’empathie ou à la volonté de ne pas générer une situation à laquelle on peut soi-même être la victime un jour).



    Sinon, pour les logiciels open-source, ce qui me rassure le plus, niveau sécurité, c’est que contrairement au cas des logiciels à source fermée:

  • le fait que si j’ai besoin de la technologie, je ne suis pas obligé de mettre de côté ma confiance: si je n’ai plus confiance dans un acteur, je peux passer chez qlq’un d’autres bien plus facilement si la technologie est open-source que si elle est fermée.

  • l’indépendence de ceux qui garantissent ces logiciels et la possibilité de pouvoir vérifier par moi-même (ou de pouvoir entendre l’opinion de bcp de gens ayant pu vérifié par eux-même) plutôt que de devoir me baser sur un témoignage.



    Tout ça pour dire: bien sûr qu’il y a des failles dans l’open-source. Mais si je trouve qu’il est plus digne de confiance, ce n’est pas parce que je croyais qu’il y avait moins de failles dans l’open-source

    (par contre, si j’ai bien compris, c’est l’opinion des “open-sourcistes” à la Eric S Raymond)







    Il faut placer les choses dans leur contexte, le but d’exodus, ce n’est pas d’être sympa ou pas sympa, leur business c’est la recherche de failles pour les revendre au agences de renseignement. A quel degré de “sympathie” place tu ce business?? <img data-src=" />



    C’est étrange qu’il ait été voir les développeur de tail dans ce contexte, c’est ce que je trouve perso, et dans quel manoeuvre s’inscrit cette démarche? Essaient-il de renégocier quelquechose avec leur client habituels par ce genre de “coups d’éclats” ? <img data-src=" />



    Bon de toute façons je connais pas trop ce domaine, mais vu comme ça on est en droit de se poser des questions?



    Concernant l’exploitation des failles, c’est valables pour toutes les technologies, open ou closed source, du moment qu’elles soient répandues. Je pense juste que entre une techno avec les sources visibles et une autre avec sources non visibles, à “intérêt” égal, les chercheurs de failles auront tendance à examiner les sources visibles.


votre avatar







after_burner a écrit :



Il faut placer les choses dans leur contexte, le but d’exodus, ce n’est pas d’être sympa ou pas sympa, leur business c’est la recherche de failles pour les revendre au agences de renseignement. A quel degré de “sympathie” place tu ce business?? <img data-src=" />





La seule façon d’être “méchant”, c’est de commettre un acte répréhensible. Si exodus fait des choses légales, alors, il n’est pas méchant.

Les choses légales sont forcément pas injustes (ou pas suffisamment objectivement injuste), sinon, les victimes de ces actes demanderaient une loi et le système législatif la créerait vu qu’ils n’auraient aucun argument pour justifier de ne pas faire leur boulot.



En fait, si on vivait dans un monde 100% “pas méchant”, on s’en contre-foutrait de l’existence de faille, vu que personne n’en profiterait au détriment d’autres.



Ce que je dis juste, c’est que tu n’as pas de symétrie parfaite entre les “méchants” et les “pas méchants”: quand tu doubles le nombre d’acteurs, tu ne doubles pas le nombre de méchants (simplement parce que ceux qui ont des intérêts sont les premiers arrivés).


votre avatar







js2082 a écrit :



Faut vraiment être maso pour croire que tes données seront plus en sécurité avec MS qu’avec un logiciel open source.

Autant donner directement les clés de ton entreprise à la NSA, ce sera un gain de temps et d’argent considérable.





Il connait pas l’humour, ce monsieur <img data-src=" />


votre avatar







Winderly a écrit :



C’est l’impression que j’ai aussi.

Ces derniers mois je reçois beaucoup de MAJ de sécurité sur ma distrib, dont celles pour Flash (pour le citer).





Ça fait un bail que Flash est mis à jour très souvent !


votre avatar







ungars a écrit :



Il connait pas l’humour, ce monsieur <img data-src=" />







Nan.



Mais je connais beaucoup d’INpactiens qui sont vraiment prêts à croire que MS propose l’OS le plus sécurisé de la planète.



Une rumeur prétend qu’ils viennent d’un obscur site appelé JV.com…


votre avatar







j-c_32 a écrit :



La seule façon d’être “méchant”, c’est de commettre un acte répréhensible. Si exodus fait des choses légales, alors, il n’est pas méchant.

Les choses légales sont forcément pas injustes (ou pas suffisamment objectivement injuste), sinon, les victimes de ces actes demanderaient une loi et le système législatif la créerait vu qu’ils n’auraient aucun argument pour justifier de ne pas faire leur boulot.



En fait, si on vivait dans un monde 100% “pas méchant”, on s’en contre-foutrait de l’existence de faille, vu que personne n’en profiterait au détriment d’autres.



Ce que je dis juste, c’est que tu n’as pas de symétrie parfaite entre les “méchants” et les “pas méchants”: quand tu doubles le nombre d’acteurs, tu ne doubles pas le nombre de méchants (simplement parce que ceux qui ont des intérêts sont les premiers arrivés).





A l’époque de Staline, exterminer des opposants dans les goulags était parfaitement légal…

Attention, quand on parle de légalité…


votre avatar







pentest a écrit :



Yep, c’est aussi une autre Poetterinade.



http://boycottsystemd.org/







En gros, ce truc est conçu pour rendre les distros LINUX bien moins sécurisée qu’avant systemd. C’est pas possible : des services de renseignements sont derrière !


votre avatar







ungars a écrit :



En gros, ce truc est conçu pour rendre les distros LINUX bien moins sécurisée qu’avant systemd. C’est pas possible : des services de renseignements sont derrière !







La plupart des critiques de Systemd ne connaissent pas ou peut ce qu’ils attaquent. Leur première erreur étant de confondre le gestionnaire d’init systemd et le projet Systemd. Le projet Systemd fourni plusieurs outils, dont un gestionnaire d’init. Mais tous ces outils ne font pas parti du gestionnaire d’init.



Pour ceux qui cherche un article sur ce sujet:http://linuxfr.org/news/mise-aux-poings-sur-systemd


votre avatar







eliumnick a écrit :



lol c’était juste du troll qui sous entendait que la NSA voulait que tout le monde utilise les produits MS car la NSA connait tout les failles des produits MS ^^







Comme si la NSA voulait que tout le monde utilise les produits Google car la NSA connait tout les failles des produits, a un accès premium aux donnés/services de G^^



Trop gros passera pas….



votre avatar



Avec de vrais morceaux de gentils méchants





<img data-src=" /> <img data-src=" />



<img data-src=" />

votre avatar







TomGun a écrit :



Ce n’est pas particulièrement nouveau, les distrib Linux ne sont surement pas plus sécurisées qu’un autre OS, voir elles le sont moins. Ils ont cherchés des failles spécifiquement dans Tails parce qu’il se dit sécurisé.



Hormis côté serveurs, les pirates n’ont pas vraiment d’intérêt à chercher des failles et développer des malware sur une plateforme utiliser par 1% des ordinateurs. [….]





Et comment audite-t-on un code fermé… Parce qu’un open, ok… mais…. <img data-src=" />


votre avatar







TomGun a écrit :



Ce n’est pas particulièrement nouveau, les distrib Linux ne sont surement pas plus sécurisées qu’un autre OS, voir elles le sont moins. Ils ont cherchés des failles spécifiquement dans Tails parce qu’il se dit sécurisé.



Hormis côté serveurs, les pirates n’ont pas vraiment d’intérêt à chercher des failles et développer des malware sur une plateforme utiliser par 1% des ordinateurs. Quand un dérivé de Linux devient une cible de choix tel que Android, c’est seulement là que l’on découvre les problèmes et que l’on se retrouve avec des anti-malware…







Je visais pas particulièrment linux, mais globalement les technologies dont le code est consultable, comme openssl par ex.



Le fait que le code soit lisible est forcément à double tranchant, ça facilite les recherches de faille en vue d’appliquer des corrections mais ceux qui font ces recherche ne le font pas tous dans le but d’être communiqué pour apporter des corrections.



Comme le dit la news, le cas d’exodus est particuliers puisqu’ils travaillent avec des agences de renseignements, et leur but habituel n’est donc pas de communiqué ces failles aux développeursde logiciels. <img data-src=" />



Si ça ce trouve, ils en ont trouvées certaines qu’ils n’ont pas indiquées. <img data-src=" />


votre avatar

Ils en sont où sinon la NSA avec le courrier postal… finalement, c’est ptet ce qu’il y a de plus secure au final… si on n’est pas déjà ciblé bien entendu.

votre avatar

&gt;« L’anonymat sur internet, ça n’existe pas. S’ils vous veulent, ils vous auront ».



Ce n’est pas mon avis.

Il suffit de ne pas utiliser sa connexion internet pour avoir un total anonymat.

votre avatar







tschaggatta a écrit :



Et comment audite-t-on un code fermé… Parce qu’un open, ok… mais…. <img data-src=" />





Fuzzing.

De plus, les sources de Windows ne sont pas fermées pour tout le monde.


votre avatar

NSA: “Exodus Intelligence, FUDer moi Tails à mort, que plus personne s’en serve.

On est prêt à coincer Snowden dont l’immunité en Russie est finie et qui s’apprête à partir. Donc black-outer moi ce merdier une semaine qu’on le coince enfin.”

Exodus: “Vous avez pas peur que Zeurf vire parano, encore?”

NSA: “OSEF de ce con”

Exodus: “OK alors”

votre avatar







julienpointcat a écrit :



Ils en sont où sinon la NSA avec le courrier postal… finalement, c’est ptet ce qu’il y a de plus secure au final… si on n’est pas déjà ciblé bien entendu.







J’avais lu que toutes les enveloppes et colis sur le sol US étaient scannés: date, expéditeur, destinataire: les metadata, comme pour les emails….


votre avatar

A propos de sécurité et de Linux, GNOME s’oriente vers des applications sandboxées avec des droits limités, et une intégration sympa avec l’environnement. L’article qui détaille leur approche est ici :http://blogs.gnome.org/aday/2014/07/23/sandboxed-applications-for-gnome-part-2/



C’est un peu dommage qu’ils travaillent sur ça dans leur coin, à mon avis ce genre de réflexion devrait être mené au niveau de FreeDesktop et pas de GNOME, mais leur approche est intéressante. Faire en sorte que l’interface à laquelle l’utilisateur est confronté parle plutôt de vie privée plutôt que du concept flou de vie privé est intéressant. Et demander les autorisations au moment où l’application en a besoin plutôt qu’à l’installation, c’est clairement une amélioration par rapport à ce qui peut exister sous Android par exemple. Par contre, c’est encore un pas en arrière pour l’utilisation des applications GNOME dans un autre environnement. Ubuntu va vraiment devoir développer son propre environnement et abandonner ses dépendances à GNOME.

votre avatar







after_burner a écrit :



Je visais pas particulièrment linux, mais globalement les technologies dont le code est consultable, comme openssl par ex.



Le fait que le code soit lisible est forcément à double tranchant, ça facilite les recherches de faille en vue d’appliquer des corrections mais ceux qui font ces recherche ne le font pas tous dans le but d’être communiqué pour apporter des corrections.



Comme le dit la news, le cas d’exodus est particuliers puisqu’ils travaillent avec des agences de renseignements, et leur but habituel n’est donc pas de communiqué ces failles aux développeursde logiciels. <img data-src=" />



Si ça ce trouve, ils en ont trouvées certaines qu’ils n’ont pas indiquées. <img data-src=" />





D’un autre côté, si tu croises une vieille femme dans une ruelle sombre, tu as le choix entre:




  • lui arracher son sac et gagner de l’argent facilement

  • ne rien faire

    Contrairement à la logique, tu vas ne rien faire.



    Je ne dis pas que tout le monde est gentil, mais qu’il y a plein d’éléments qui poussent l’individu à respecter son prochain (cela va des conséquences sociales à l’empathie ou à la volonté de ne pas générer une situation à laquelle on peut soi-même être la victime un jour).



    Sinon, pour les logiciels open-source, ce qui me rassure le plus, niveau sécurité, c’est que contrairement au cas des logiciels à source fermée:

  • le fait que si j’ai besoin de la technologie, je ne suis pas obligé de mettre de côté ma confiance: si je n’ai plus confiance dans un acteur, je peux passer chez qlq’un d’autres bien plus facilement si la technologie est open-source que si elle est fermée.

  • l’indépendence de ceux qui garantissent ces logiciels et la possibilité de pouvoir vérifier par moi-même (ou de pouvoir entendre l’opinion de bcp de gens ayant pu vérifié par eux-même) plutôt que de devoir me baser sur un témoignage.



    Tout ça pour dire: bien sûr qu’il y a des failles dans l’open-source. Mais si je trouve qu’il est plus digne de confiance, ce n’est pas parce que je croyais qu’il y avait moins de failles dans l’open-source

    (par contre, si j’ai bien compris, c’est l’opinion des “open-sourcistes” à la Eric S Raymond)


votre avatar







j-c_32 a écrit :



Sinon, pour les logiciels open-source, ce qui me rassure le plus, niveau sécurité, c’est que contrairement au cas des logiciels à source fermée:




  • le fait que si j’ai besoin de la technologie, je ne suis pas obligé de mettre de côté ma confiance: si je n’ai plus confiance dans un acteur, je peux passer chez qlq’un d’autres bien plus facilement si la technologie est open-source que si elle est fermée.







    Je vois pas en quoi être open source facilite le passage d’une solution à une autre.





  • l’indépendence de ceux qui garantissent ces logiciels et la possibilité de pouvoir vérifier par moi-même (ou de pouvoir entendre l’opinion de bcp de gens ayant pu vérifié par eux-même) plutôt que de devoir me baser sur un témoignage.





    Tu te contredis là ! Dans les deux cas tu te bases sur des témoignages.

    Et jusqu’à il y a pas longtemps, les témoignages disaient que openssl était sûr.



    De plus, tout dépendra de la qualité des témoins. Je suis désolé mais si demain Bruce Schneier audite le code source de Windows pour le gouvernement américain et qu’il dit qu’il est sûr, c’est pas tous les linuxiens de France qui répèteront que sans source le témoignage ne vaut rien qui m’empêchera de recommander Windows.





    Tout ça pour dire: bien sûr qu’il y a des failles dans l’open-source. Mais si je trouve qu’il est plus digne de confiance, ce n’est pas parce que je croyais qu’il y avait moins de failles dans l’open-source.





    Les deux seuls avantages dans l’open-source c’est la vitesse de réaction face à la découverte d’une nouvelle faille, et le fait qu’on puisse tout compiler soi même (à partir du moment où on est sûr de son compilateur).



    Car j’espère que tous les linuxiens parlant de sécurité ici ont recompilé eux même le noyau de l’OS qu’ils utilisent, et pas juste installé l’ISO de leur distribution préférée sans se soucier de ce que l’éditeur ait pu modifier ou pas ^^”






votre avatar







Jed08 a écrit :



Je vois pas en quoi être open source facilite le passage d’une solution à une autre.





Les exemples ne manquent pas.

Encore récemment, OpenSSL a perdu un peu de confiance (pas parce que ses développeurs sont des méchants, mais bon) et maintenant, il y a LibreSSL qui arrive.

Cela fait des décennies que le protocole MSN et Skype sont utilisés avec suspicions. Quand j’en parle avec mes amis qui les utilisent et que je leur dis: “tu as entendu des rumeurs comme quoi le protocole / logiciel / … fait des trucs louches”, ils répondent: “oui, je ne fais pas trop confiance à ce truc, mais bon, c’est soit ça, soit ne pas pouvoir profiter des avantages qu’ils offrent”.

Si ces protocoles étaient open-source, cela ferait longtemps qu’ils auraient changés d’“intermédiaire” sans perdre les avantages.





Tu te contredis là ! Dans les deux cas tu te bases sur des témoignages.



Non non.

Ce que j’appelle un témoignage, c’est une déclaration faite par un témoin, c-à-d un récit qu’on ne peut pas vérifier autrement que par la déclaration du nombre limité de témoin.

Dans le cas où je peux vérifier moi-même, il n’y a pas de témoignage, il y a juste des vérifications.

Si qlq’un dit: “j”étais là, la pomme est tombé (maintenant, on l’a ramassée et elle a disparu)“, c’est un témoignage.

Si qlq’un dit: “la pomme est par terre, tu peux aller voir”, c’est totalement différent. Et je n’ai pas besoin d’aller voir moi-même, si quelqu’un d’autre vérifie à ma place, il ne va pas mentir, car dans ce cas, plein de gens pourront le traiter de menteur.



Le problème n’est pas l’information donnée, c’est la confiance sur l’information donnée:

si c’est un témoignage, c’est que c’est une information que seule les témoins connaissent, et s’ils ne sont pas d’accord entre eux, impossible de trancher.

si c’est ouvert à la vérification, seul un débile mental choisirait de mentir.





Et jusqu’à il y a pas longtemps, les témoignages disaient que openssl était sûr.



On s’en contre-fout des témoignages selon lesquels un code est sur.

Ce qui compte, c’est le fait que n’importe qui peut vérifier une affirmation.

Du coup, on s’en fout que ce soit moi ou pas qui fasse la vérification, le fait que la vérification soit ouverte à tous implique que personne n’a intérêt à mentir sous peine de passer pour un con et perdre toute crédibilité (qui, dans le libre, est très très importante).





De plus, tout dépendra de la qualité des témoins. Je suis désolé mais si demain Bruce Schneier audite le code source de Windows pour le gouvernement américain et qu’il dit qu’il est sûr, c’est pas tous les linuxiens de France qui répèteront que sans source le témoignage ne vaut rien qui m’empêchera de recommander Windows.



C’est exactement ce que je dis:




  • si demain SchneierA dit que Windows est sur et que SchneierB dit que Windows n’est pas sur, tu devras faire confiance à quelqu’un.

  • si demain SchneierA dit que Linux est sur et que SchneierB dit que Linux n’est pas sur, il va y avoir une discussion publique et l’un des deux va soit perdre sa crédibilité, soit finalement se ranger sur l’avis de l’autre (ou dans le pire des cas, tu pourras te faire ton avis sur base du débat public).



    Ensuite, bien sur, tu peux trouver très facilement des exemples où tu as des discours très peu crédibles qui défendent le logiciel libre.

    Sauf que les discours peu crédibles, seuls les idiots y croient.





    Car j’espère que tous les linuxiens parlant de sécurité ici ont recompilé eux même le noyau de l’OS qu’ils utilisent, et pas juste installé l’ISO de leur distribution préférée sans se soucier de ce que l’éditeur ait pu modifier ou pas ^^”



    C’est un argument qui revient souvent et que je trouve stupide.

    C’est comme dire: j’espère que ceux qui achètent leur médicament en pharmacie font des tests pour savoir ce que contiennent les pilules, sinon, ils sont bêtes de prétendre que leur médicaments sont plus sur que ceux que j’achète au noir dans une ruelle à un type dont je ne connais pas le nom.



    La confiance dépend de mon évaluation des intérêts et des risques pris par la personne ne face de moi:

    si mon pharmacien me vend des produits foireux, il perdra son commerce et aura des ennuis.

    si le vendeur dans la ruelle me vend des produits foireux, il peut s’en sortir bien plus facilement.



    La vérification en soit n’est pas importante, c’est le fait que je puisse, si je le souhaite, faire la vérification, qui fait que ça met bien plus de pression sur l’entreprise pour garantir la confiance.


votre avatar







Jed08 a écrit :



De plus, tout dépendra de la qualité des témoins. Je suis désolé mais si demain Bruce Schneier audite le code source de Windows pour le gouvernement américain et qu’il dit qu’il est sûr, c’est pas tous les linuxiens de France qui répèteront que sans source le témoignage ne vaut rien qui m’empêchera de recommander Windows.







La différence entre Gnu Linux et Windows.



Avec Gnu Linux, tu as les sources et tu peux compiler à partir de ces dernières sans utiliser de distribution déjà compilé.



Avec Windows, tu ne peux pas le créer à partir des sources donc bon qui te dis que ça a bien été compilé par rapport aux sources que l’on t’as montré <img data-src=" />


votre avatar







j-c_32 a écrit :



[…]







je dis pas que t’as tord ou raison, mais t’as quand même quelques arguments de comparaison foireux .. <img data-src=" />


votre avatar







after_burner a écrit :



Ces derniers temps, j’ai l’impression que l’on trouve pas mal de failles de sécurités dans les logiciels open source non?



Et ce ne sont que celles que leur chercheurs ont bien voulus annoncer.





C’est l’impression que j’ai aussi.

Ces derniers mois je reçois beaucoup de MAJ de sécurité sur ma distrib, dont celles pour Flash (pour le citer).


La distribution Tails, spécialisée dans l’anonymat, comporte des failles 0-day

  • Des failles critiques dans une distribution spécialisée dans la sécurité 

  • Une entreprise chercheuse de failles 0-day 

  • « aucune solution ne peut garantir un anonymat en ligne » 

  • L'équipe de Tails satisfaite de l'attitude d'Exodus 

Fermer